• Suomi
  • English

Käyntiä tiskillä ei tarvita: SisuID tehostaa sähköistä tunnistamista

Jotta tutkija pääsisi eri tutkimusinfrastuktuurien digitaalisiin palveluihin, hänen henkilöllisyytensä ja suhteensa tutkimusorganisaatioonsa tulee todentaa. Tähän asti todentaminen on edellyttänyt henkilökohtaista käyntiä rekisteröintipisteessä, jossa hänen henkilöllisyystodistuksensa tarkistetaan. Suomessa on testattu uutta ratkaisua vahvalle sähköiselle tunnistamiselle, joka ei edellytä pistäytymistä rekisteröintipisteessä.

 

Todentamisella ja ensitunnistuksella varmistetaan, että henkilö on se, joka väittää olevansa. Tällä hetkellä tutkijat voivat käyttää kotiorganisaationsa käyttäjätunnuksia kirjautuessaan infrastruktuurien palveluihin. Kirjautuminen esimerkiksi sensitiivistä dataa sisältäviin palveluihin edellyttää kuitenkin luotettavampaa ensitunnistamista, jollaista ei ole käytössä kaikissa kotiorganisaatioissa.

”Perinteisesti ensitunnistamista pidetään luotettavana, jos henkilö joutuu käymään kasvotusten rekisteröintipisteessä, jossa koulutettu henkilökunta tarkistaa hänen passinsa tai muun viranomaisen myöntämän tunnistamisasiakirjan.”, sanoo vanhempi sovellusasiantuntija Mikael Linden CSC:stä.

ELIXIRin Suomen keskus CSC, yhdessä Tsekin keskuksen (Institute of Organic Chemistry and Biochemistry of the CAS) kanssa, on jo pitkään kehittänyt infrastruktuurille autentikointipalveluja. ELIXIRin AAI-palvelu (Authentication and Authorisation Infrastructure) mahdollistaa sen, että käyttäjien tunnistaminen ja käyttöoikeuksien antaminen on sähköistä. Pääsystä esimerkiksi geenidataan päättää aina datan omistaja, mutta AAI:n avulla pääsy dataan nopeutuu.

AAI-palvelu on tehokas, mutta edellyttää tutkijan luotettavaa tunnistamista. Yleensä yksinkertainen ja hallinnollisesti ketterä ratkaisu on federoitu käyttäjäidentiteetin hallinta. Tällöin yhdellä tunnistautumisella ja oman kotiorganisaation käyttäjätunnuksella tutkijat saavat pääsyn organisaationsa ulkopuolella oleviin palveluihin, myös tarkoin suojeltuihin datakokoelmiin. Entä jos kotiorganisaatio ei pysty varmistamaan riittävän luotettavaa tunnistamista?

CSC on tehnyt yhteistyötä suomalaisen Sandbox of Trust -hankkeen kanssa, jossa on mukana muun muassa tietoturvayhtiö Nixu. Hankkeessa on kehitetty SisuID -tunnistusratkaisu, jonka tarkoituksena on tuoda käyttäjäystävällisempi vaihtoehto salasanoille sekä vahvaan kaksivaiheiseen tunnistamiseen. Tunnistusvälineenä käytetään ensi vaiheessa mobiilitunnistussovellusta, jonka myöntövaiheessa henkilölle luodaan myös yksilöivä sähköinen identiteetti. Näiden yhdistelmä mahdollistaa myös henkilötiedon luotettavan siirtämisen palveluiden välillä, henkilön omalla suostumuksella.

”ELIXIR:n tyyppisessä tutkimusinfrastruktuurissa ensitunnistamisen rekisteröintipisteiden verkostosta tulisi kallis ja loppukäyttäjälle kömpelö. SisuID -konseptissa ensitunnistus nojaakin siihen, että käyttäjä itse skannaa passinsa ja ottaa itsestään valokuvan SisuID -matkapuhelinsovelluksella, joka tarkistaa, että ne täsmäävät,” sanoo Mikael Linden.

 

Kasvontunnistaminen algoritmisesti

 

 

SisuID on avoimen lähdekoodin tunnistustapa, jota on kokeiltu viidessä eri pilottihankkeessa. Nixun digitaalisen liiketoiminnan johtaja Joonatan Henrikssonin mukaan nyt on kokeiltu eri tapoja todentaa ja tunnistaa luotettavasti suomalainen sekä ulkomainen henkilö.

”Suomessa vahva sähköinen tunnistaminen on mahdollista toteuttaa tällä hetkellä esimerkiksi pankkitunnuksilla, mutta ulkomaalaisten tutkijoiden osalta niitä ei voida hyödyntää eikä kaikissa maissa ole kansallista vahvaa tunnistautumistapaa,” sanoo Nixun digitaalisen liiiketoiminnan johtaja Joonatan Henriksson.

Henrikssonin mukaan testatussa rajat ylittävässä ratkaisussa ensin tunnistettava henkilö ottaa mobiililaitteellaan passistaan tai henkilökortistaan kuvan sekä itsestään kasvokuvan. Näitä vertaillaan algoritmisesti keskenään.

”Lisäksi vertailussa voidaan käyttää henkilöllisyystodistuksen myöntäjämaan rekistereitä sekä mm. Interpolin väärennettyjen henkilöllisyystodistusten kantoja.”

Mutta tiukempiakin kriteerejä tunnistamiseen on.

”Jos palveluntarjoajan mielestä luottamus etätunnistamisen osalta ei ole riittävä, meillä on mahdollista korottaa identiteetin luottamustasoa käyttämällä henkilö kerran fyysisessä asiointipisteessä ensitunnistettavana, jonka jälkeen luotettavampi identiteetti on kaikkien SisuID:tä käyttävien palveluntarjoajien käytettävissä.”

Henrikssonin mukaan tunnistamisen kriteerit noudattavat EU:n eIDAS -asetusta. eIDAS -asetus tarjoaa tunnistuspalveluiden tarjoajille raamit, joihin esimerkiksi Suomen laki vahvasta sähköisestä tunnistamisesta perustuu. eIDAS -asetuksen avulla tunnistus- ja luottamuspalveluiden tarjoajat voivat halutessaan hakea palvelulleen viranomaishyväksyntää, jolloin tunnistusväline käy esimerkiksi rajat ylittävään valtionhallinnon asiointiin.

”Jatkossa voimme myös lukea NFC -sirulta passin myöntäjän allekirjoittaman kasvokuvan, sekä ottaa liveness -videon kasvoista, joka parantaa entisestään rekisteröidyn identiteetin sähköistä luottamustasoa.”

SisuID -ratkaisun tuottamista varten ollaan perustamassa voittoa tavoittelematonta tunnistusosuuskuntaa, joka jakaa kaikkia sektoreita palvelevan tunnistuspalvelun hyödyt, kustannukset ja riskit sitä käyttävien organisaatioiden välillä.

Kun henkilön todentaminen ja tunnistaminen pystytään hoitamaan tehokkaasti ja luotettavasti, Henrikssonin mielestä jäljelle jäävä ongelma on, että henkilöön liitetty data elää siiloissa. Tällä hetkellä pääsy esimerkiksi ELIXIRin tuottamiin palveluihin voitaisiin antaa yhdistämällä kaksi tietoa: luotettavalla tavalla rekisteröity digitaalinen identiteetti ja henkilöön liittyvät todistukset. Tutkija voi muuttaa yliopistolta saadun tutkintotodistuksen tai EU:lta saadun apurahapäätöksen sähköiseen muotoon, joka virallistaa tutkijan väitteen tutkijastatuksestaan.

”Tämä tunnistetun henkilön digitaaliseen identiteettiin liitettävä sähköinen tieto voitaisiin jatkossa välittää toimijoiden välillä esimerkiksi hajautettua luottamusta tuottavien rajat ylittävien lohkoketjuverkostojen avulla.”

Lohkoketjussa lohkoihin tallennetaan dataa. Lohkot liitetään edelliseen algoritmilla, joka luo datasta merkkijonon. Yhteen lohkoon kirjattuja tietoja ei voi muuttaa jälkikäteen, koska lohkoketju on hajautettu usealle tietokoneelle. Tämä menetelmä mahdollistaa digitaalisen luottamuksen hajauttamisen, ilman että esimerkiksi kansallisten rekisterien rajapintoja tarvitsee avata koko maailmalle. Lohkoketjun muuttumattomuus takaa luotettavan datan siirron käyttäjän itsensä toimesta, jolloin suoria integraatioita rajapintojen välillä ei tarvita. Esimerkkinä tästä on tehty EU tasolla kokeiluja European Blockchain Services Infrastructure (EBSI) -hankkeessa, muun muassa sähköisten koulutustodistusten siirrossa.

Ari Turunen

Lue artikkeli PDF-muodossa.

 

Lisätietoja:

https://sisuid.com/fi/

https://www.nixu.com

CSC – Tieteen tietotekniikan keskus Oy

CSC – Tieteen tietotekniikan keskus Oy on valtion omistama, opetus- ja kulttuuriministeriön hallinnoima, voittoa tavoittelematon osakeyhtiö. CSC ylläpitää ja kehittää valtion omistamaa keskitettyä tietotekniikkainfrastruktuuria.
http://www.csc.fi
https://research.csc.fi/cloud-computing

ELIXIR

ELIXIR rakentaa infrastruktuurin bioalan tutkimuksen tueksi. Se yhdistää 21 Euroopan maan ja Euroopan molekyylibiologian laboratorion EMBL:n johtavat organisaatiot yhteiseksi biologisen informaation infrastruktuuriksi. Sen Suomen keskus on CSC – Tieteen tietotekniikan keskus Oy.
http://www.elixir-finland.org
http://www.elixir-europe.org